Przygotowywanie sieci do szyfrowania postkwantowego w protokole TLS
Dowiedz się więcej o szyfrowaniu postkwantowym w protokole TLS i o tym, jak sprawdzić, czy serwery WWW Twojej organizacji są gotowe do jego wdrożenia.
Ten artykuł jest przeznaczony dla administratorów sieci w przedsiębiorstwach i placówkach edukacyjnych.
W systemach iOS 26, iPadOS 26, macOS Tahoe 26 i visionOS 26 połączenia chronione protokołem TLS będą automatycznie informować o obsłudze hybrydowej, szyfrowanej postkwantowo wymiany kluczy w protokole TLS 1.3. Umożliwi to negocjowanie algorytmu szyfrowanej postkwantowo wymiany kluczy z serwerami TLS 1.3, które go obsługują, przy jednoczesnym zachowaniu zgodności z serwerami, które nie obsługują jeszcze tego nowego algorytmu. Zastosowanie szyfrowania postkwantowego ma na celu uniemożliwienie atakującemu rejestrowanie ruchu połączeń TLS, a następnie wykorzystanie przyszłego komputera kwantowego do odszyfrowania treści.
Komunikat ClientHello z urządzeń z systemem iOS 26, iPadOS 26, macOS Tahoe 26 i visionOS 26 będzie zawierał algorytm X25519MLKEM768 w rozszerzeniu supported_groups (zobacz rejestr) wraz z odpowiednim podziałem klucza w rozszerzeniu key_share. Serwery mogą wybrać algorytm X25519MLKEM768, jeśli go obsługują, lub użyć innej grupy podanej w komunikacie ClientHello.
Sprawdzanie, czy serwer WWW obsługuje szyfrowanie postkwantowe
Począwszy od systemu macOS Tahoe 26, można sprawdzić, czy serwer HTTPS obsługuje X25519MLKEM768 algorytm wymiany kluczy, używając następującego polecenia:
nscurl --tls-diagnostics https://test.example
Serwery obsługujące szyfrowanie postkwantowe zwrócą następujące informacje:
Negotiated TLS version (codepoint): 0x0304
Negotiated TLS key exchange group (name): X25519MLKEM768
Negotiated TLS ciphersuite (codepoint): 0x1302
Serwery, które nie obsługują szyfrowania postkwantowego, wybiorą inne obsługiwane grupy podczas uzgadniania TLS, aby umożliwić połączenie urządzeń z systemami iOS 26, iPadOS 26, macOS Tahoe 26 i visionOS 26.
Rozwiązywanie problemów z połączeniem
Urządzenia z systemami iOS 26, iPadOS 26, macOS Tahoe 26 i visionOS 26 mogą nie łączyć się z niektórymi starszymi serwerami z powodu nieprawidłowej implementacji protokołu TLS skutkującej brakiem możliwości odczytania dużych komunikatów ClientHello. Więcej informacji na temat tego problemu z serwerem można znaleźć tutaj.
Jeśli przed rozwiązaniem tego problemu konieczne jest połączenie urządzenia z systemem iOS 26, iPadOS 26, macOS Tahoe 26 lub visionOS 26 z serwerem lub urządzeniem sieciowym, na które ma wpływ ten problem, możesz tymczasowo włączyć tryb zgodności, aby umożliwić ponowne nawiązanie połączenia bez informowania o obsłudze szyfrowania postkwantowego. Należy pamiętać, że jest to tymczasowy tryb zgodności, który nie będzie dostępny w przyszłych wersjach systemów iOS, iPadOS, macOS i visionOS.
Aby włączyć ten tryb zgodności w systemie macOS Tahoe 26, użyj następującego polecenia:
defaults write com.apple.network.tls AllowPQTLSFallback -bool true
Profile konfiguracji umożliwiające włączenie tego trybu zgodności w systemach iOS 26, iPadOS 26, macOS Tahoe 26 i visionOS 26 za pomocą usługi zarządzania urządzeniami są dostępne na stronie zasobów AppleSeed for IT.